配置反向代理
上一次修改主题: 2009-07-20
对于 Office Communications Server 边缘服务器部署,在外围网络中必须有 Microsoft Internet Security and Acceleration (ISA) Server 或其他反向代理才能实现以下功能:
- 允许外部用户下载会议的会议内容。
- 允许外部用户扩展通讯组。
- 允许远程用户从通讯簿服务下载文件。
- 使外部设备可以连接到设备更新服务并获得更新。
下表显示 Web 组件服务器所使用的特定目录。建议将 HTTP 反向代理配置为使用所有目录。
Web 组件服务器使用的目录
目录 | 用途 |
---|---|
https://外部 FQDN/etc/place/null |
存储会议内容。 |
https://外部 FQDN/GroupExpansion/ext/service.asmx |
存储通讯组扩展信息。运行通讯簿 Web 查询服务的 Web 组件服务器的外部 URL。 |
https://<外部 FQDN>/ABS/ext/Handler |
存储通讯簿服务器文件。 |
https://<外部服务器 FQDN>/RequestHandler/ucdevice.upx |
运行设备更新服务的 Web 组件服务器的外部 URL。有关详细信息,请参阅设备更新服务。 |
https://<外部 FQDN>DeviceUpdateFiles_Ext |
设备更新所在的 Web 组件服务器的外部 URL。 |
本节详细介绍将 ISA Server 2006 配置为反向代理的步骤。如果您使用的是其他反向代理,请参阅该产品的文档。
可以使用本节中的信息来设置反向代理,这需要完成以下步骤:
- 配置网络适配卡。
- 安装和配置 ISA Server 2006。
- 请求并配置 SSL 的数字证书。
- 创建 Web 服务器发布规则,并验证安全 Web 服务器发布规则属性是否正确。
- 在 Internet Information Services (IIS) 虚拟目录上验证或配置身份验证和证书。
- 创建外部域名系统 (DNS) 条目。
- 确认可以通过 Internet 访问网站。
开始之前
设置企业版池和 Standard Edition Server 时,您可以选择在“创建池向导”或“部署服务器向导”的**“Web 场 FQDN”**页上配置外部 Web 场的完全限定域名 (FQDN)。如果在运行这些向导时未配置此 URL,则需要手动配置这些设置。为此,请打开命令提示符,然后键入以下命令:
lcscmd.exe /web /action:updatepoolurls /externalwebfqdn:<外部 Web 场 FQDN> /poolname:<池名称>
配置网络适配器
必须为外部网络适配器分配一个或多个 IP 地址,为内部网络适配器分配至少一个 IP 地址。有关部署只有一个网络适配器的 ISA 服务器的详细信息,请参阅在只有一个网络适配器的计算机上配置 ISA Server 2004。此文档同样适用于 ISA Server 2006。
在以下过程中,ISA 服务器计算机有两个网络适配器:
- 公用(或外部)网络适配器,对试图连接到您的网站(通常通过 Internet)的客户端公开。
- 一个专用(即内部)网络接口,对内部 Web 服务器公开。
必须为外部网络适配器分配一个或多个 IP 地址,为内部网络适配器分配至少一个 IP 地址。
在反向代理计算机上配置网络适配器卡
在运行 ISA Server 2006 的服务器上打开**“网络连接”,方法是单击“开始”,指向“设置”,然后单击“网络连接”**。
右键单击要用于外部接口的外部网络连接,然后单击**“属性”**。
在**“属性”页上单击“常规”选项卡,单击“此连接使用下列项目”列表中的“Internet 协议(TCP/IP)”,然后单击“属性”**。
在**“Internet 协议(TCP/IP)属性”**页上,配置适于网络适配器所连接网络的 IP 地址和 DNS 服务器地址。
单击**“确定”,然后单击“确定”**。
在**“网络连接”中,右键单击要用于内部接口的内部网络连接,然后单击“属性”**。
重复步骤 3 到 5,配置内部网络连接。
为 HTTP 反向代理请求和配置证书
如果 CA 在 Web 服务器(即,运行 Office Communications Server Web 组件的 IIS 服务器)上颁发过服务器证书,则需要在运行 ISA Server 2006 的服务器上安装该 CA 的根证书颁发机构 (CA) 证书。
必须在 ISA Server 上安装 Web 服务器证书。该证书应与承载会议内容和通讯簿文件的外部 Web 场的已发布 FQDN 相匹配。
如果内部部署包括多个 Standard Edition Server 或企业版池,则必须为每个外部 Web 场 FQDN 配置 Web 发布规则。
配置 Web 发布规则
ISA Server 使用 Web 发布规则在 Internet 上安全地发布内部资源,如会议 URL。通过向 Internet 用户发布信息,可将内部网络中的计算资源提供给网络外部的用户。
使用以下过程创建 Web 发布规则。
注意: |
---|
此过程假定已安装了 ISA Server 2006 Standard Edition。 |
在运行 ISA Server 2006 的计算机上创建 Web 服务器发布规则
单击**“开始”,依次指向“程序”、“Microsoft ISA Server”,然后单击“ISA 服务器管理”**。
在左窗格中展开**“服务器名称”,右键单击“防火墙策略”,指向“新建”,然后单击“网站发布规则”**。
在**“欢迎使用新建 Web 发布规则向导”页上,为发布规则键入一个友好名称(例如 OfficeCommunicationsWebDownloadsRule),然后单击“下一步”**。
在**“选择规则操作”页上选择“允许”,然后单击“下一步”**。
在**“发布类型”页上选择“发布单个网站或负载平衡器”,然后单击“下一步”**。
在**“服务器连接安全”页上选择“使用 SSL 连接到发布的 Web 服务器或服务器场”,然后单击“下一步”**。
在**“内部发布详细信息”页的“内部站点名称”**框中,键入承载会议内容和通讯簿内容的内部 Web 场的 FQDN。
注意: 如果内部服务器是 Standard Edition Server,则此 FQDN 为 Standard Edition Server 的 FQDN。如果内部服务器是企业版池,则此 FQDN 是内部 Web 场的 FQDN。
ISA Server 必须能够将 FQDN 解析为内部 Web 服务器的 IP 地址。如果 ISA Server 不能将 FQDN 解析为正确的 IP 地址,则可以选择“使用计算机名称或 IP 地址连接到发布的服务器”,然后在“计算机名称或 IP 地址”框中键入内部 Web 服务器的 IP 地址。如果这样做,则必须确保在 ISA Server 上打开了端口 53,且 ISA Server 可以访问内部 DNS 服务器或位于外围网络中的 DNS 服务器。在**“内部发布详细信息”页的“路径(可选)”框中键入 /* 作为要发布的文件夹的路径,然后单击“下一步”**。
注意: 在网站发布向导中,只能指定一个路径。可以通过修改规则的属性来添加其他路径。 在**“发布名称详细信息”页上,确认在“接受请求”下选择“此域名”,在“公共名称”框中键入外部 Web 场的 FQDN,然后单击“下一步”**。
在**“选择 Web 侦听器”页上单击“新建”**(这将打开新建 Web 侦听器定义向导)。
在**“欢迎使用新建 Web 侦听器向导”页上的“Web 侦听器名称”框中为 Web 侦听器键入一个名称(例如 Web Servers),然后单击“下一步”**。
在**“客户端连接安全设置”页上选择“需要与客户端建立 SSL 安全连接”,然后单击“下一步”**。
在**“Web 侦听器 IP 地址”页上选择“外部”,然后单击“选择 IP 地址”**。
在**“外部侦听器 IP 选择”页上选择“所选网络中 ISA Server 计算机上指定的 IP 地址”,选择适当的 IP 地址,单击“添加”,然后单击“确定”**。
单击**“下一步”**。
在**“侦听器 SSL 证书”页上选择“为每个 IP 地址分配一个证书”,选择刚刚添加的 IP 地址,然后单击“选择证书”**。
在**“选择证书”页上选择与在步骤 9 中指定的公共名称相匹配的证书,单击“选择”,然后单击“下一步”**。
在**“身份验证设置”页上选择“无身份验证”,然后单击“下一步”**。
在**“单一登录设置”页上单击“下一步”**。
在**“正在完成 Web 侦听器向导”页上确认“Web 侦听器”设置正确,然后单击“完成”**。
单击**“下一步”**。
在**“身份验证委派”页上选择“无委派,但是客户端可以直接进行身份验证”,然后单击“下一步”**。
在**“用户组”页上单击“下一步”**。
在**“正在完成新建 Web 发布规则向导”页上确认 Web 发布规则设置正确,然后单击“完成”**。
在详细信息窗格中单击**“应用”**,从而保存更改并更新配置。
修改 Web 发布规则的属性
单击**“开始”,依次指向“程序”、“Microsoft ISA Server”,然后单击“ISA 服务器管理”**。
在左侧窗格中展开**“服务器名称”,然后单击“防火墙策略”**。
在详细信息窗格中,右键单击在前面的过程中创建的安全 Web 服务器发布规则(例如 OfficeCommunicationsServerExternal 规则),然后单击**“属性”**。
在**“属性”页上单击“从”**选项卡:
- 在**“此规则应用于来自这些源的通讯”列表中单击“任意地点”,然后单击“删除”**。
- 单击**“添加”**。
- 在**“添加网络实体”对话框中展开“网络”,依次单击“外部”、“添加”、“关闭”**。
如果需要发布 Web 服务器上的另一个路径,请单击**“路径”选项卡。然后单击“添加”,键入 /* 作为要发布的路径,然后单击“确定”**。
单击**“应用”保存更改,然后单击“确定”**。
在详细信息窗格中单击**“应用”**按钮,从而保存更改并更新配置。
在 IIS 虚拟目录上验证或配置身份验证和证书
使用以下过程在 IIS 虚拟目录上配置证书或验证是否已正确配置证书。在内部 Office Communications Server 中的每个 IIS 服务器上执行以下过程。
注意: |
---|
下面的过程适用于 IIS 中的默认网站。 |
在 IIS 虚拟目录上验证或配置身份验证和证书
单击**“开始”,依次指向“所有程序”、“管理工具”,然后单击“Internet 信息服务(IIS)管理器”**。
在**“Internet 信息服务(IIS)管理器”中展开“服务器名称”,然后展开“网站”**。
右键单击 <默认或所选>“网站”,然后单击**“属性”**。
在**“网站”选项卡上,确认“SSL 端口”框中的端口号为“443”,然后单击“确定”**。
在**“目录安全性”选项卡上单击“安全通信”下方的“服务器证书”**。
在**“欢迎使用 Web 服务器证书向导”页上,单击“下一步”**。
在**“服务器证书”页上单击“分配现有证书”,然后单击“下一步”**。
在**“SSL 端口”页上,确认“此网站应该使用的 SSL 端口”框中的值为“443”,然后单击“下一步”**。
在**“证书摘要”页上确认设置正确,然后单击“下一步”**。
单击**“完成”**。
单击**“确定”关闭“默认网站属性”**对话框。
验证通过反向代理进行的访问
使用以下过程验证用户是否能够访问反向代理上的信息。您可能需要完成防火墙配置和 DNS 配置,才能正确进行访问。
验证是否可以通过 Internet 访问网站
按照《Live Meeting 2007 客户端部署指南》中所述部署 Live Meeting 2007 客户端。
打开 Web 浏览器,在地址栏中键入客户端用于访问通讯簿文件和 Web 会议网站的 URL,具体如下:
- 对于通讯簿服务器,请键入类似如下形式的 URL:https://externalwebfarmFQDN/abs/ext,其中 externalwebfarmFQDN 为承载通讯簿服务器文件的 Web 场的外部 FQDN。用户应收到 HTTP 质询,因为默认情况下将通讯簿服务器文件夹的目录安全性配置为 Microsoft Windows 身份验证。
- 对于 Web 会议,请键入如下形式的 URL:https://externalwebfarmFQDN/conf/ext/Tshoot.html,其中 externalwebfarmFQDN 为承载会议内容的 Web 场的外部 FQDN。该 URL 将显示 Web 会议的疑难解答页。
- 对于通讯组扩展,请键入如下形式的 URL:https://外部 Web 场 FQDN/GroupExpansion/ext/service.asmx。用户应收到 HTTP 质询,因为默认情况下将通讯组扩展服务的目录安全性配置为 Microsoft Windows 身份验证。